La seguridad de la información tiene actualmente en el ciberespacio y en internet el principal foco de preocupaciones e intereses para su desarrollo y expansión, el debate en los principales foros se centra sobre todo en los aspectos más fundamentales y básicos de éstos.
Sin embargo en ocasiones es necesario comenzar a explorar los límites más allá de la red, y abrir la discusión a los que sin duda se convertirán en los temas centrales del futuro debate de la seguridad de la información, me estoy refiriendo a las vías alternativas de acceso a la los dispositivos de almacenamiento, o si se prefiere, al hacking y al ciberespionaje sin internet.
El pionero de estos métodos alternativos es la vía de las pulsaciones electromagnéticas y ondas de radio, por el recorrido que ya han experimentado ambas técnicas desde hace unos cuantos años. Y es que de un tiempo a esta parte se han logrado detectar las fluctuaciones electromagnéticas generadas a través de la corriente del cable de alimentación de un ordenador o CPU, para posteriormente traducirlas en información valiosa sobre los datos almacenados, como contraseñas, patrones, códigos, y todo lo necesario para robar información.
En este sentido, los límites se encuentran en la distancia entre el dispositivo emisor y el detector de estas señales, puesto que una separación mínima con el cable de alimentación no permitiría la detección de las ondas, y la dificultad de desarrollar el software para una traducción fiable y rápida de los impulsos.
Las ondas de radio servirían en este caso como sustituto de parte del método anterior, pudiendo cumplir el papel de enlace entre el detector de señales externo, y el dispositivo a atacar. Bastaría con acceder primero al teléfono móvil situado al lado del ordenador de un usuario, y hackear la aplicación de la radio, para detectar las ondas y comenzar a medir las fluctuaciones que también se detectarían en la señal captada por la app.
Otra de las técnicas de las que se empieza a oír hablar es la detección de vibraciones en el dispositivo y en su teclado. Actualmente se está desarrollando software capaz de detectar qué tecla de cada teclado se está pulsando en función de la vibración que producen cuando se pulsa, o con otros factores como la propia frecuencia de pulsación. Así, bastaría un micrófono y un programa desarrollado para esta finalidad y el intruso podría acceder en muy poco tiempo a las contraseñas de entrada al dispositivo.
El último gran avance en este campo alternativo del espionaje de la información se ha producido con los experimentos logrados con éxito para transformar en datos las variaciones de temperatura de un ordenador. Basta con medir las fluctuaciones de calor entre dos dispositivos próximos entre sí para transmitir información entre ambos en binario, en forma de 1 y 0s. Pero sin embargo aunque prometedor, es el único caso en donde el dispositivo emisor debería encontrarse infectado previamente por un programa de malware diseñado para medir las fluctuaciones de temperatura de los equipos.
Y en un futuro no muy lejano, la identificación biotecnológica experimentará, a la par que su expansión, un posicionamiento en el punto de mira de la seguridad de la información muy importante, pues a medida que se vayan implementando nuevos métodos de acceso a los dispositivos basados en la biotecnología, se irán descubriendo nuevos métodos de burlar sus protecciones y acceder a todo el contenido que almacenen. En este campo se está actualmente experimentando con lectores de huellas digitales, y reconocimiento por voz, pero no son pocas las voces que piden el avance hacia la identificación visual e incluso mediante detecciones por cierto tipo de tejidos e incluso a través del ADN.
Las preguntas que deberían realizarse desde el seno de las principales organizaciones y los foros de debate deberían ser las siguientes: ¿Estamos a tiempo para preparar el terreno ante la llegada de nuevas técnicas de espionaje? ¿Se encuentran los fabricantes dispuestos a destinar recursos para la prevención de técnicas que posiblemente no se lleguen a explotar en su totalidad? ¿Supone un riesgo probable de alto impacto alguna de estas técnicas? Y sobre todo, ¿Llegaremos a controlar la seguridad en el entorno ciber como para poder centrarse en otros ámbitos?
En la actualidad, estos límites se encuentran aún en una fase experimental y poco estudiada, esperando aún la confirmación de convertirse en verdaderos quebraderos de cabeza para los responsables de seguridad de las empresas y para los particulares, a pesar de ello, no es conveniente perder la perspectiva de lo que se aproxima, y de lo que en un futuro, de una forma u otra, focalizará el debate de la seguridad de la información.
Álvaro Écija (@Alvaro_ecija)
Managing Partner at Ecix Group (@EcixGroup)
Leave a Comment